Questo post nasce da una serie di domande più o meno ricorrenti che mi vengono rivolte sul tema in oggetto. Il GDPR (UE 16/679) in quanto regolamento è immediatamente e direttamente applicabile negli ordinamenti degli Stati membri, ma pur essendo un regolamento per diverse tematiche rimette agli Stati membri il potere normativo (regolazione derogatoria, norme… Leggi tutto »
Ho cominciato ad affrontare l’implementazione del nuovo Reg. 679/2016 con molti miei clienti, casa farmaceutiche e aziende di medical device. Tra i vari trattamenti di dati effettuati da tali tipologie di titolari, ci sono quelli relativi ai test clinici sui medicinali e alle indagini cliniche sui dispositivi medici. E qui mi sono resa conto che… Leggi tutto »
Nella sua Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali l’Autorità Garante dichiara che la notifica della violazione di dati personali non è obbligatoria, ma lasciata alla valutazione dei Titolari… In attesa delle relative Linee guida del WP 29 vediamo cosa dice la normativa. Innanzi tutto cosa è una violazione… Leggi tutto »
Dal punto di vista della privacy, il Servizio Pubblico per l’Identità digitale – SPID è a norma con il GDPR, in quanto adeguata misura di cautela per proteggere i dati personali (Art. 32). Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, ci si autentica a livello 2 (Level of Assurance 3 (LoA3) dello standard… Leggi tutto »
Solo un breve video di 2 minuti e 38 secondi per ricordarci da dove siamo partiti a che punto siamo e dove stiamo andando, un video celebrativo e riepilogativo dei 20 anni di legge sulla privacy in Italia. Un filmato forse un po’ nostalgico ed “old fashion” ma che ci lancia sul nuovo regolamento e… Leggi tutto »
Tutti i Titolari e i Responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti, sono obbligati a tenere un registro delle operazioni di trattamento. Per le eccezioni di cui all’articolo 30.5 rimando al mio precedente articolo. Dunque, il Regolamento prevede due distinti regolamenti : uno del Titolare del trattamento e uno del Responsabile. La scelta… Leggi tutto »
Le app che utilizziamo sui nostri smartphone sono strumenti utili che dovrebbero aiutarci a semplificare o rendere più sicure operazioni che prima erano svolte in altro modo. Ma le app possono anche essere un potentissimo strumento per il digital marketing, per la profilazione e per ‘conoscere’ le abitudini di chi le utilizza; in alcuni casi… Leggi tutto »
Sono stati pubblicati i risultati analitici della survey condotta dalla fondazione GCSEC ed Europrivacy volta a valutare la conoscenza delle organizzazioni italiane del GDPR e la percezione degli impatti che la conformità al Regolamento potrebbe comportare. Dai risultati emerge che le organizzazioni italiane stanno muovendo i primi passi e pianificando, attraverso assessment interni, le azioni… Leggi tutto »
Lo scorso 4 aprile il Gruppo di Lavoro ex art. 29 (WP 29) ha adottato delle linee guida in tema di Data Protection Impact Assesment, volte innanzitutto a definire dei criteri comuni a tutti i Titolari, che possano costituire un ausilio nell’individuazione delle operazioni di trattamento che richiedono l’effettuazione di una valutazione d’impatto. Ciò in… Leggi tutto »
Adeguarsi al GDPR può essere un compito abbastanza complesso: il Regolamento è corposo 99 articoli e 173 considerando. Ho ritenuto utile, almeno per me, elaborare un riassunto ragionato, che guidi il processo mentale per capire se e come adeguare le procedure aziendali per ottenere la compliance. Come tutti i riassunti, ovviamente si possono perdere dei… Leggi tutto »